【Security Hub修復手順】[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です

【Security Hub修復手順】[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。
2026.07.01

こんにちは!スライマンです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか?

本記事では、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[CloudFormation.4] CloudFormation スタックには関連するサービスロールが必要です

[CloudFormation.4] CloudFormation stacks should have associated service roles

https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/cloudformation-controls.html#cloudformation-4

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、CloudFormationスタックにIAMサービスロールが関連付けられているかチェックします。スタックにサービスロールが設定されていない場合、FAILEDと判定されます。

サービスロールとは、CloudFormationがAWSリソースへのAPI呼び出しを行う際に使用するIAMロールです。
サービスロールを設定することで、CloudFormationが使用できる権限をスタックを操作するユーザーの権限から分離し、最小権限の原則を実現できます。

サービスロールが設定されていない場合、CloudFormationはスタックを操作するユーザー自身の権限でAWSリソースを操作します。ユーザーが本来必要以上の権限を持つ環境では、意図しない権限昇格を招くリスクがあります。
このリスクを低減するため、本番・本番以外ともに対応を必須とするのが望ましいです。

修復手順

コントロールの確認方法

  1. AWS Security Hub コンソールを開く
  2. 左メニューから「検出結果」を選択
  3. フィルターで コンプライアンスセキュリティコントロールIDCloudFormation.4 を指定し、コンプライアンスのステータスが FAILED の検出結果を確認する

Blog_CFn_1

  1. 検出されたリソース(スタック名)を確認し、対応が必要な設定セットを特定する

Blog_CFn_2

ステークホルダーに確認

修復を行う前に、以下の点をステークホルダーに確認してください。

  • 作成するサービスロールに、対象スタックのテンプレートで使用するAWSリソースへの必要な権限がすべて含まれているか
  • サービスロールは一度スタックに関連付けると削除できないが、問題ないか
  • スタックへの操作権限を持つすべてのユーザーが、このサービスロールを介してAWSリソースを操作することになる点に問題はないか

修復手順

修復は「①サービスロールの作成」と「②スタックへの関連付け」の2段階で行います。

① サービスロールを作成する

  1. IAMコンソールを開き、左メニューから「ロール」を選択して「ロールを作成」をクリックする

Blog_CFn_3

  1. 「AWSのサービス」を選択し、ユースケースに「CloudFormation」を選択して「次へ」をクリックする

Blog_CFn_4

  1. 許可ポリシーの画面で、対象スタックのテンプレートで使用するAWSリソースへの権限を付与するポリシーをアタッチして「次へ」をクリックする

Blog_CFn_5

  1. ロール名を入力して「ロールを作成」をクリックする

Blog_CFn_6

② スタックにサービスロールを関連付ける

  1. CloudFormationコンソールを開き、対象のスタックを選択し、 「直接更新を実行」ボタンをクリックする

Blog_CFn_7

  1. 「現在のテンプレートを使用」を選択・パラメータ設定画面はそのままとして「次へ」をクリックする

  2. 「スタックオプションの設定」画面の「アクセス許可」セクションで「IAMロール」に手順①で作成したロールを入力して「次へ」をクリックする

Blog_CFn_8

  1. 変更内容を確認して「送信」をクリックする

修復確認

本コントロールはスタックのサービスロール設定の設定変更時に評価されるため、サービスロールを設定後に比較的早く結果が PASSED に切り替わります。
ただし、反映されるまで数分〜数十分かかる場合があります。
まず、対象のスタックの概要から、IAMロールが設定されていることを確認します。

Blog_CFn_9

その後、修復後に Security Hubで検出結果が「PASSED」になることを確認します。

Blog_CFn_10

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!

最後までお読みいただきありがとうございました!どなたかのお役に立てれば幸いです。

以上、スライマンでした!


AWS Security Hub 「基礎セキュリティのベストプラクティス」シリーズをご覧のあなたに特報!

本シリーズで紹介している各チェック項目(コントロール)について、推奨される対応方法や見解のまとめは、クラスメソッド経由でAWSをご活用されているお客様向けに特別公開しております。この機会にぜひ併せてご検討ください。

クラスメソッドのAWS総合支援を見る

何が提供されるの?

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事